顧客満足度の向上に基づいた情報保護を考えよう
リスク対策を別の視点から言えば、顧客サービスの向上のためにも重要な意味を持つ。「取引先や消費者とよい関係を築いていくには、誠実でしっかりした対応が必要だ」…このことに異論のある経営者はいないだろう。IT時代は、“しっかりした対応”の一部として、取引先や消費者のデータを大切に取り扱い、それらが第三者に利用されないような気配りが求められるようになった…こう言い換えたら、分かっていただけるだろうか。
ここ数年のITブームの流れに乗って、ITに関心のない中小企業の経営者は稀な存在になった。しかしながら、情報セキュリティの問題について関心をもっている経営者はまだまだ少ない。どちらかと言うと、IT担当者や情報処理部門の社員の方が意識は高い。社内LANがトラブルを起こして業務遂行に支障を与えたり、パソコンの調子が悪い時に、IT担当者や情報処理部門の社員は自らがその復旧を担当している。それゆえ、コンピューターの脆さや情報の大切さを身を以て知っているからだろう。
最近の情報セキュリティ関連の事件としては、防衛庁にシステムを納入したシステムベンダーから、機密事項が外部に漏れていたと言う事件や、ある大手コンビニチェーンから顧客情報が何十万人分も外部流出していた事件などが耳新しい。ちなみに、これら事件の舞台となった企業で情報流出の原因となった事項は、従業員がデータをコピーして自宅に持ち帰ってしまったことが発端だった。この2件だけではない。インターネットの検索エンジンで「顧客情報流出」と言うキーワードで検索すれば、顧客情報が何万人規模で流出したと言うニュースが何十件もヒットする。
IT化のおかげで、データの加工やコピー、移転などが簡単になり、企業活動に大きな利益を与えてくれているが、その反面、情報流出の危険性も格段に高まっている。一旦情報流出が発覚すれば、その後始末に何億円もの損失と企業ブランドの失墜という損害を蒙ることになることも珍しくない。まさに、「注意一秒、怪我一生」の時代になってしまった。
情報セキュリティの一部である“情報流出”だけでこれほど頻繁にニュースとなって世の中を騒がせているのだ。情報セキュリティ全体ではどれほどの事件や事故が現出しているのか、恐ろしいものがある。
●情報セキュリティの概念が根づかない中小企業の現場
とは言え、世間を騒がせている情報セキュリティの事件と言えば、自治体や大企業、有名なサービスを提供している会社の事例がほとんどだ。一般の中小企業が舞台の事例はほとんど聞かない。中小企業の経営者が、情報セキュリティの問題は対岸の火事だと思ってしまうのも無理もない。しかし、潜在的なリスク要素は、既に中小企業の現場にもゴロゴロしている。
例えば、【情報流出】と言う問題に絞って、私が出会ったいくつかの事例をあげてみよう。
・顧客情報など機密情報が入った書類の処理
ある販売会社では、売上の集計を行なうために売上伝票を販売管理システムに入力し、集計表を出力している。その集計表には顧客名、連絡先、販売品の名称、販売価格、仕入原価、その日の売上高や利益率などが表示されている。
その集計表は売上伝票と照らし合わせてチェックし、入力ミスが無いかの確認と財務上の数値を他の書類に転記した後は、ダンボール箱に詰めて半年間保管している。保管期限が切れた集計表は逐次廃棄していた。
そこまでは良いのだが、廃棄のやりかたが良くない。なんと、ダンボール箱のまま、古紙回収に出していたのだ。集計表に記載されている顧客情報や機密事項となる財務計数が定期的に外部流出していたということである。
・社外秘や文責の記載のない重要書類
これは、一般的な中小企業ではしばしば見られることだが、重要な情報が記載された書類であっても、作成者や作成日の記載が抜けていたり、【社外秘】【極秘】などの記載がなかったりしている。
その上、書類管理が不十分だと情報セキュリティは穴だらけとなってしまう。書類もパソコンで作成されることが多い世の中である。ソースデータや印刷物のコピーが簡単に作れてしまう。このような状態では、データや書類が社外に流出したり紛失したり、改ざんされていても全くわからない。また、その書類を見る権限の無い人が見ていても、周囲にはわからない。
・性善説
経営者としては自社の従業員は信用したい。信用できなければ大事な業務を任せることも出来ない。しかし、情報セキュリティに関しては従業員を過度に信用する事はご法度である。自宅で仕事を片付けようとデータをフロッピーディスク等に入れて持ち帰ったり、Eメールで自宅のパソコンに送信したりしている事例をよく見掛けるが、そうしたデータはそれ以降は会社の管理外になってしまう。
その人を信用しているから、データの持ちかえりを見て見ぬ振りをしているということだろうが、これが大きな間違いだ。先に紹介した、防衛庁の機密漏洩の事例はまさにそうして発生したのである。従業員を信用するしないに関らず、データ類を会社が管理できない状態にしないことが必要だ。
これらの事例は特殊なものではなく、かなり一般的に見られるものばかりである。昔はこのようなことは起きなかった。書類を作る事自体が大変な作業だったため、書類を大切に扱っていたからだろう。しかし、IT化や情報化社会の進展が書類やデータの取り扱いを簡単にし、これらの危険な事例を生んでいる。
データの取り扱いが簡単になった分、情報を使い捨てする機会が増え、捨てた情報が会社の管理を離れて問題を引き起こす。今までの中小企業の活動習慣は、情報化社会以前の感覚で行なわれていることが多く、この感覚のズレが情報セキュリティに関してリスクの芽となり、リスクが至る所に散在することになる。
このように情報流出に絞っても、中小企業の現場では問題が多い。今までは、たとえ問題が発生しても、企業のネームバリューが小さいために世間から見過ごされてきたり、元々ビジネス規模が小さいために被害も小さく、世の中を騒がす事件にまでならなかっただけと考えるべきだろう。
しかし、今後はネットワーク社会が進展したために、自社のトラブルが他社や世間一般に影響を与えて大きな損害を出してしまう可能性もあるし、世間一般の目が厳しくなり、些細なトラブルでも厳しく糾弾されないとも限らない。中小企業といえども情報セキュリティ、もっと広範に言えばリスクマネジメントの必要性を認識し、コンピューターウイルス対策以外にも業務ルールの整備、従業員教育など、組織としての手を今のうちから打っておかねばならない。
リスク対策の第一歩は、リスクとは何かを認識することである。今、多くの中小企業経営者は情報化社会でのリスクとは何かを正確に認識されていない状態である。だから世間巷で騒がれるウイルスソフトばかりに目が行き、本格的なリスクマネジメントの必要性に気付かない。リスク要素は足元の現場にいくらでも転がっているのだ。
●取引先や顧客サービスの一環として情報保護に取り組もう
リスク対策を別の視点から言えば、顧客サービスの向上のためにも重要な意味を持つ。「取引先や消費者とよい関係を築いていくには、誠実でしっかりした対応が必要だ」…このことに異論のある経営者はいないだろう。IT時代は、“しっかりした対応”の一部として、取引先や消費者のデータを大切に取り扱い、それらが第三者に利用されないような気配りが求められるようになった…こう言い換えたら、分かっていただけるだろうか。
企業相手の商売であれば、大部分の中小企業は元請けから仕事をもらうわけだが、製品の品質と納期に関してはしっかりと約束を守っている経営者が多いだろう。これからは、これに元請けの機密を漏らさないという約束が加わったと思っていただきたい。また、一般消費者相手の商売であれば、個人情報をパソコンデータとして取り扱ったり、それを元にDMやメールを出すことが多くなってきたが、それらの情報の使い方は、あらかじめ消費者と交わした約束に基づいて決まる。だから、それらの約束なしにDMをいきなり送ったりすることは、これからはできなくなると考えてほしい。
いま述べた取引先との関係、消費者との関係のあるべき姿は、今年5月に成立した「個人情報保護法」によっても裏打ちされている。だから、情報流出に関するリスク対策は、企業の規模にかかわらず喫緊の経営課題でもあるのだ。
といっても、あまりに「防御」一辺倒の話をするつもりはない。そうではなく、今の時代に取引先や一般消費者が喜ぶサービスとは何かを考えてほしいのだ。そうした“顧客満足度の向上”を突き詰めていけば、お預かりした情報をぞんざいに扱うことなどできなくなるはずである。そして、情報保護を含めた顧客サービスの品質を維持するために、経営者と従業員が一丸となって勉強し、なんらかの社内の取り決めをする…こうした方向を目指していただきたい。
リスク対策は、決して流行りものだからするのでもなく、企業の喉元に匕首を突きつけられているからするのでもない。IT時代に適応したお客様へのサービスを突き詰めていったら、この課題を避けて通るわけにはいかないから取り組むのである。この基本的な指針を経営者はよく消化して、従業員に伝えていただきたい。
(本記事は、「SmallBiz(スモールビズ)※」に寄稿したコラム「近藤昇の『こうして起こせ、社内情報革命』」に、「第59回 顧客満足度の向上に基づいた情報保護を考えよう」として、2003年10月7日に掲載されたものです。)
※日経BP社が2001年から2004年まで運営していた中堅・中小企業向け情報サイト